Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 8810 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PPTP and Radius to Windows 2008 Server failing

chimera
Hi,
Configuring PPTP on firewall (v7.504) to use Radius to backend Windows 2008 Server.  Have configured Radius (NPS) on 2k8 server and also under Users\Auth\Servers on firewall. If I click 'Test' for server settings, it works fine. However if I add a test user, choose pptp and click 'Test', it fails with:

User authentication:
Radius authentication failed

User is a member of the following groups:
No groups have been found for this user


Under NPS on the Windows 2008 server, I have left the default connection request policy as is, and under the Network Policies node, have added a new policy that has conditions:

NAS Identifier: pptp
Windows Groups: DOMAIN\Radius Users

I have settings as:

Access Permission: Grant Access
Authentication Method: MS-CHAP v1 OR MS-CHAP v2
NAP Enforcement: Allow full network access
Update Noncompliant Clients: True
Framed-Protocol: PPP
Service-Type: Framed
BAP Percentage of Capacity: Reduce Multilink if server reaches 50% for 2 minutes
Encryption: Strongest encryption (MPPE 128-bit)


Most of the above settings are the defaults.

Any ideas why I'm getting this error when testing authentication???  The test user is a member of the group under AD.

As a test, if I alter the default Connection request policy ("Use Windows authentication for all users") on the Windows 2008 Server, under Settings tab, Authentication and change from "Authenticate requests on this server" to "Accept users without validating credentials" then click 'Test' from the Astaro, it passes and comes back with the correct user groups. Of course, this simply verifies that its something to do with the configuration under NPS as opposed to the Astaro. I just can't quite figure out what I'm doing wrong. I've tried testing with username, username@domain, DOMAIN\username formats and none work. 

Help?

Cheers


This thread was automatically locked due to age.
Parents
  • 0
    I'm not using SSO for HTTP/S Proxy.

    Sorry, I guess that was misleading - I was just trying to prevent a tangential concern by stating that the sequence of servers is unrelated to SSO.

    The important point is that, on the 'Servers' tab of 'Users >> Authentication', the RADIUS server is the first in the list.

    This thread and other news are the reason I haven't upgraded to 4 on my iPhone 3G.  I was disappointed with Apple that their "improvements" in 3.0 broke the Astaro profiles in my iPhone.

    Cheers - Bob
Reply
  • 0
    I'm not using SSO for HTTP/S Proxy.

    Sorry, I guess that was misleading - I was just trying to prevent a tangential concern by stating that the sequence of servers is unrelated to SSO.

    The important point is that, on the 'Servers' tab of 'Users >> Authentication', the RADIUS server is the first in the list.

    This thread and other news are the reason I haven't upgraded to 4 on my iPhone 3G.  I was disappointed with Apple that their "improvements" in 3.0 broke the Astaro profiles in my iPhone.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    I kind of guessed that's what you ment and moved the Radius server ahead of the adirectory server, but it didn't change the results.

    Oh I see, I didn't use the profile thing with my iPhone 3G iOS 3.x and it worked fine.  I just manually created the VPN connection on the iphone.  

    From what I'm seeing it seems more like Astaro or Apple changed imformation that is transmitted, but I'm still digging.  I'm going to turn tracing on the Radius server and see if I can get close to the root cause.

    It looks like it's not sending the NAS Port Type and maybe it was before.  Which breaks the default RADIUS Connection Request and Network Policies (2008 R2 NPS).  I'm fiddling with conditions in the policies to try and get the MS CHAPv2 call to go through.

    Thanks for helping, I'll let you know how it goes.
  • 0 in reply to Snowplow
    NEVER GIVE UP!  NEVER SURRENDER!


    CAUSE:

    So the default wizard used to setup RADIUS services under Network Policy and Access Servers (2008 R2) created a Virtual Private Network (VPN) Connections policy under 'Connection Request Policies'.  The condition was NAS Port Type = Virtual (VPN).  It looks like an update to Astaro somewhere between 7.2 and 7.505 or Apple iOS 3.x > 4.0 must have changed information / exchange from the RADIUS client (Astaro) and the RADIUS server (2k8 R2).  If you look at the event log you'll see that under NAS: NAS Port-Type: is blank.  I bet it previously sent "Virtual (VPN)" as the NAS Port-Type which allowed it to pass through the default VPN wizard policy setup.

    SOLUTION:

    1. Open NPS MMC on 2008 R2 RADIUS server
    2. Browse to Connection Request Policies
      2.1. Server Manager/Roles/Network Policy and Access Services/NPS (Local)/Policies/Connection Request Policies:
    3. Edit Virtual Private Network (VPN) Connections (Or whatever you named it)
      3.1. I renamed mine to ASG L2TP VPN Connections
    4. Browse to Overview tab
    5. Change Type of network access server from Remote Access Server (VPN-Dial up) to Unspecified
    6. Browse to Conditions tab
    7. Remove Condition NAS Port Type = Virtual (VPN)
    8. Add Condition NAS Identifier = l2tp 
    9. Add Condition client IPv4 Address =  (For Added Security)
    10. Apply and close policy
    11. Browse to Network Policies
      11.1. Server Manager/Roles/Network Policy and Access Services/NPS (Local)/Policies/Network Policies:
    12. Edit Virtual Private Network (VPN) Connections (Or whatever you named it)
      12.1. I renamed mine to ASG L2TP VPN Connections
    13. Browse to Overview tab
    14. Change Type of network access server from Remote Access Server (VPN-Dial up) to Unspecified
    15. Browse to Conditions tab
    16. Remove Condition NAS Port Type = Virtual (VPN)
    17. Add Condition NAS Identifier = l2tp
    18. Add (if absent) Windows Groups = Active Directory group that allows users to VPN
    19. Apply and close policy
    20. Test